Короче, тут такое дело. Помните, я недавно писал про то, как исследователи исследовали, не пишут ли приложения звук с микрофона, и в процессе обнаружили, что некоторые приложения используют аналитические сервисы компании Appsee и сохраняют происходящее на экране в видео или делают скриншоты? Так вот, у вас есть возможность прикоснуться, так сказать, к прекрасному в приложении сети Бургер Кинг, которая именно это и делает

https://pikabu.ru/story/prilozhenie_burger_king_tayno_zapisyivaet_yekran_telefona_6021526

немножко паникерский пост на Пикабу о том, что “собирают данные карты, все пропало”. Ну, допустим, не все пропало, подобные сервисы обычно достаточно неплохо анонимизируют данные, о чем, кстати, можно почитать в ответе менеджера по приложению из БургерКинга в этом посте
https://pikabu.ru/@SergeyBurgerKing

А вот тут можно и чуть детальней почитать о самой технологии записи экрана, применяемой в SDK Appsee
https://www.appsee.com/features/user-recordings

Интересно, что затрагивает это и пользователей Android, и iPhone, у последних вроде как запись приложением экрана должна приводить к запросу на разрешение этой записи (если используется ReplayKit). возможно, если речь идет о записи из определенного SDK в рамках одного приложения, то тогда запрос на разрешение не требуется, но все равно как-то нехорошо.

Кибератаки везде

И снова здравствуйте. Закрывая тему с Бургеркингом, их приложением и слежкой за пользователями, хочу дать ссылку на ТЖ, где в целом неплохо разобрались в вопросе и разложили все по порядку

https://tjournal.ru/73536-burger-king-i-zapis-ekranov-pochemu-kompaniya-otricaet-sbor-personalnyh-dannyh-i-kak-otkazatsya-ot-slezhki

От себя хочу добавить, что такие рекламные мониторилки — естественное развитие всяких Флурри и Крешалитикс, сообщающих информацию о пользователях, их поведении, и проблемах в приложении. Надо также понимать, что AppSee — не единственное аналитическое СДК, которое так делает, и какие там еще приложения подобную информацию сохраняют, мы просто пока не знаем. Очень надеюсь, что и Google, и Apple научатся отлавливать такие СДК с записью контента в приложении и будут их нещадно банить в своих магазинах.

Твит со скриншотами, поэтому я дам на него ссылку просто. Там обнаружили сканер и распознавалку автомобильных номеров, без всякой защиты транслирующей в интернет собираемую информацию. а сколько еще такой информации можно найти в интернете, когда создатели системы не задумываются даже о том, что к их информации кто-то может захотеть получить доступ
https://twitter.com/sshell_/status/1016887687779778560

тут такое дело… если вам слова eslint-scope что-то говорят, то эта ссылка для вас. там в версию 3.7.2 кто-то подложил что-то нехорошее, что пытается загрузить ваши данные вовне, поэтому будьте осторожны
https://github.com/eslint/eslint-scope/issues/39

Сразу две новости похожего плана

1. кто-то продавал данные по доступу к системам безопасности крупного международного аэропорта всего за 10 долларов (потому что доступ к RDP — кто там на него особо заморачивается)
https://securingtomorrow.mcafee.com/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/

2. Кто-то продавал секретные военные документы о военных дронах всего за 150-200 долларов (потому что кто-то не сменил пароль на FTP-доступа на роутере)
https://www.bleepingcomputer.com/news/security/hacker-steals-military-docs-because-someone-didn-t-change-a-default-ftp-password/

еще очень полезная ссылка от читателя — браузер Chrome в борьбе за уменьшение рисков и последствий от проблемы Spectre (эксплуатация недостатков в спекулятивном исполнении команд в процессорах) включил изоляцию сайтов друг от друга. Таким образом, минимизируется риск, что вредоносный сайт сможет похитить информацию из памяти о другом сайте
https://security.googleblog.com/2018/07/mitigating-spectre-with-site-isolation.html

Еще раз сделаем попытку закрыть тему одной бургерной компании, их мобильного приложения и “слежки за пользователями”. Теперь — ответом разработчиков самого приложения

https://habr.com/company/e-Legion/blog/417043/

Тема с уязвимостями процессоров Intel и атаками Spectre тоже не отпускает. Еще два новых сценария уязвимости, приводящих к восстановлению данных в кэше процессора при спекулятивном исполнении инструкций

исследование на английском
https://people.csail.mit.edu/vlk/spectre11.pdf

статья об этом на русском
https://tproger.ru/news/new-spectre-vulnerabilities/

Кстати, новость про изоляцию сайтов в Chrome из вчера — как раз для защиты от подобных сценарией t.me/alexmakus/2234

и вдогонку про вчерашнее с eslint-scope — разработчики опубликовали post mortem о том, что произошло и как их заразили вирусом. Ключевое, что нужно знать всем: виной всему оказалось повторное использование паролей одним из администраторов на разных сайтах.

Package maintainers and users should avoid reusing the same password across multiple different sites. Ну и двухфакторную авторизацию никто не отменял

https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes

Приложения со встроенным вредоносным кодом в Google Play, никогда такого не было, и вот опять! вирус Anubis под видом всяких полуполезных приложений попадал в Google Play, а после установки из магазина воровал пароли из банковских приложений, кошельков и проч.

https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

Тут такое дело. Можно, конечно, верить или не верить во всемогущих российских хакеров, дело ваше. Но сегодня министерство юстиции США(ЭТО ВАЖНО) предъявило обвинение 12 хакерам, которые являлись сотрудниками ГРУ, и участвовали в незаконном взломе и доступе компьютерных систем во время президентских выборов 2016 года, в том числе к системам Демократического национального комитета, и к почте сотрудников некоторых избирательных кампаний. Полный текст обвинения, включая имена, адреса, номера военных частей, а также информация о методах взлома, доступна по ссылке в документе

https://www.justice.gov/file/1080281/download


Грубо говоря, обвинений 4

1: сговор для взлома DNC
2-9: identify theft (то, что использовалось для фишинга)
10: отмывание денег (потому что платежи через биткойны, и тд).
11: Сговор по взлому компьютеров избирательной системы в разных штатах

АААААААААА страницы 14 и 15 уапще... уровень детализации какой-то прям запредельный

Плюс: можно у ЦРУ запросить любую информацию и придёт ответ. Минус: ответ ничего не даст :)

Мне тут админы одной компании среднего размера (до 500 чел) рассказали о том, как они проводили фишинговое тестирование в компании. Около 20% пользователей кликнули по ссылке в письме и ввели пароль в поле на фейковой странице. Так что если вы ждали знака для того, чтобы ввести в компании двухфакторную авторизацию (или активировать её на своей учетке почты, ФБ или еще чего-то важного), то это — тот самый знак.

Кстати, о фишинге. Я на прошлой неделе писал о российских хакерах, против которых было выдвинуто обвинение в несанкционированном доступе к почте участников избирательной кампании президента США в 2016 году. Там шла речь как раз в том числе и о взломе почты руководителя штаба Хиллари Клинтон Джона Подесты. Вот так выглядели письмо со ссылкой и страница, которая открывалась по клику по ссылке в письме. Я не уверен, что я бы на такое не повелся. А вот двухфакторная авторизация помогла бы защитить от доступа к почтовому ящику, даже если гдето лоханулся и ввел пароль. (через фильтры Gmail письмо прорвалось, как я понимаю, путем использования нелатинских символов в нужных местах)

Сразу несколько человек прислали мне статью про китайские смартчасы для детей (кто бы мог подумать, что Пикабу станет таким источником контента для канала?). В статье маловато деталей, поэтому я не рвался её публиковать, но ладно уж. Собственно, автор статьи пишет о том, что обнаружил в китайских часах для детей (типа часы для того, чтобы следить за перемещением детей) уязвимость, позволяющую следить не только за своими детьми, но и за любыми. Производитель Wherecom (часы продаются под разными брендами, в том числе в России под брендом Elari) весьма неохотно и вяло реагирует на информацию об уязвимостях и чинит не спеша. Так что родители, вы там внимательно следите за тем, что покупаете своим детям (и критично относитесь к рекламе).

https://pikabu.ru/story/detskie_smartchasyi_i_illyuziya_bezopasnosti_6029400

Тут читатели сообщают, что у Яндекса опять найдётся все! Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!
https://habr.com/post/417219/

С вот таким вот примером запроса в поисковик можно найти много всего интересного:
https://yandex.ru/search/touch/?text=inurl%3A0%20inurl%3Ab%20inurl%3A1%20inurl%3Ac%20%D1%81%D1%82%D0%B0%D1%82%D1%83%D1%81%20%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D0%B0&lr=213&redircnt=1531472731.1

АПД все новое - это хорошо забытое старое. Ещё 2011 год
https://ezhoping.wordpress.com/2011/07/27/inurl-0-inurl-b-inurl-1-inurl-c/

========== РЕКЛАМА ==========

В продолжение темы фишинга. Разовые проверки — это хорошо, но для корпоративной безопасности важнее регулярно проверять и обучать всех сотрудников. Делать это можно с помощью системы Антифишинг: www.antiphish.ru. В лицензию входят курсы по безопасности: www.antiphish.ru/courses и поддержка с подпиской на шаблоны целевых атак для вашей компании. Ребята ведут собственные психологические исследования, а интересные примеры фишинга и других атак на людей каждую неделю собирают в открытом дайджесте: blog.antiphish.ru. Для подписчиков канала к лицензии Антифишинга на год добавится месяц в подарок, промо-код: «Информация опасносте».

==============================